Toutes les éditions · Policymaker Edition
Your Community, Your AI — CC BY 4.0L’IA des géants de la tech et la question de la souveraineté
Deux questions distinctes
Le terme « souveraineté », lorsqu’il est utilisé dans le contexte de l’IA, recouvre en réalité deux questions distinctes ; un décideur politique qui sait les distinguer s’exprimera sur le sujet avec bien plus de clarté que celui qui ne le fait pas.
La première concerne les schémas de qui un système intègre — les paramètres culturels et commerciaux par défaut qu’il a absorbés lors de son apprentissage. La seconde concerne la législation de qui s’applique — où le système fonctionne, qui contrôle l’entreprise qui l’exploite, et quel État peut contraindre cette entreprise à agir. La première est une question de qualité et d’adéquation. La seconde est une question d’État. Cet article porte principalement sur la seconde, car c’est celle qui prête le plus souvent à confusion, et celle sur laquelle la politique a le plus d’influence. (Tout terme inconnu dans cette série est défini en langage clair dans le glossaire.)
La différence structurelle
Commençons par la première question, brièvement, car elle prépare la seconde.
Un système entraîné sur l’Internet ouvert — textes marketing, réseaux sociaux, entrées d’encyclopédies, discours d’entreprise — est éloquent et dispose d’une vaste culture générale, mais ses paramètres par défaut sont façonnés par ce que l’Internet surreprésente : le contenu en anglais, les cadres de référence commerciaux, les présupposés individualistes et la culture d’entreprise du secteur technologique. Il sous-représente le langage civique et municipal, les pratiques de la démocratie délibérative, les conventions de responsabilité publique et les archives réelles des institutions d’un pays donné. Il ne s’agit pas d’un défaut que l’on peut simplement corriger ; c’est un problème structurel, car le caractère du système est déterminé par son apprentissage, et son apprentissage s’est fait à partir d’Internet.
Un système fondé plutôt sur les propres archives d’une organisation — ou d’un pays — présente des schémas différents. Il tire ses réponses des procès-verbaux, décisions et documents réels qui lui ont été fournis, et non d’une moyenne statistique issue du Web. Pour un organisme public, cette différence est déterminante pour la qualité du résultat. Mais elle ne répond pas, à elle seule, à la question la plus épineuse — car un système fondé sur vos propres archives peut tout de même fonctionner sur une infrastructure contrôlée par une entreprise qui rend des comptes à un État étranger.
Le problème de la juridiction
Voici la partie qui relève clairement du domaine politique, et qui est régulièrement mal comprise.
Plusieurs grands régimes juridiques confèrent à un État une autorité sur les données et les systèmes des entreprises constituées en vertu de sa législation — quel que soit l’endroit dans le monde où ces données sont physiquement stockées. Trois d’entre eux méritent d’être cités, non pas pour accuser un fournisseur en particulier, mais pour mettre en évidence des catégories de risques qu’un législateur se doit de comprendre :
- Le CLOUD Act américain (2018) oblige les fournisseurs américains à communiquer les données qu’ils contrôlent en réponse à des ordonnances américaines légales, quel que soit le pays dans lequel se trouvent les serveurs.
- La section 702 de la loi FISA autorise la surveillance par les États-Unis de personnes non américaines par l’intermédiaire de fournisseurs américains.
- La loi chinoise sur le renseignement national (2017) impose aux organisations chinoises de soutenir et de coopérer avec les activités de renseignement de l’État.
Il ne s’agit pas là de cas marginaux et exotiques. Il s’agit du fonctionnement normal du droit dans les juridictions où est construite et contrôlée la majeure partie des capacités mondiales de pointe en matière d’IA. Et cela établit un principe qu’un décideur politique devrait pouvoir énoncer en une seule phrase :
L’accès aux données dépend du contrôle de l’entreprise, et non de l’emplacement physique.
Un centre de données situé à l’intérieur de vos frontières, exploité par une société constituée à l’étranger, ne place pas les données hors de portée de l’État étranger dont la législation régit cette société. Le bâtiment est ici ; la juridiction, elle, ne l’est pas.
Il existe un deuxième risque, lié au premier, que le législateur doit prendre en compte parallèlement au premier. L’accès à une capacité dont un service public est devenu dépendant peut être subordonné à des conditions, restreint ou supprimé par une autorité étrangère — par le biais de contrôles à l’exportation, de sanctions ou d’une modification des conditions générales de l’entreprise elle-même — sans le consentement du pays dépendant. La dépendance vis-à-vis d’une capacité que l’on ne contrôle pas constitue un risque stratégique, qu’un incident particulier se produise ou non. Il s’agit d’un problème structurel, valable quel que soit le fournisseur concerné.
La résidence des données n’est pas la souveraineté des données
C’est la distinction la plus importante à retenir de cet article, car c’est celle qui est le plus souvent éludée dans le discours marketing des fournisseurs et, parfois, dans le langage officiel.
La résidence des données est une question de localisation des serveurs. Un engagement selon lequel les données seront stockées sur le territoire national est un engagement de résidence.
La souveraineté des données concerne l’autorité qui régit les données : qui peut en exiger la divulgation, qui fixe les règles d’utilisation, qui peut en bloquer l’accès. La souveraineté exige à la fois la résidence et que la législation applicable aux données reste nationale.
La résidence sans souveraineté est une demi-mesure qui semble rassurante. Si les informations sensibles d’un pays se trouvent sur des serveurs situés à l’intérieur de ses frontières mais sous le contrôle d’une entreprise qu’un État étranger peut légalement contraindre, la case « résidence » est cochée et la question de la souveraineté reste en suspens. Un décideur politique qui confond ces deux notions acceptera des garanties qui ne tiennent pas les promesses qu’elles semblent faire. Distinguer clairement ces deux notions est la discipline la plus utile qui soit dans ce domaine.
L’argument ne dépend pas du fournisseur
Il serait facile d’interpréter les sections précédentes comme un argument en faveur des fournisseurs d’un pays plutôt que de ceux d’un autre — pour remplacer un fournisseur américain par un fournisseur européen, ou pour éviter un fournisseur chinois. Ce n’est pas là l’argument, et un décideur politique qui l’interpréterait ainsi se tromperait dans son approche.
Chaque grand fournisseur est constitué en société en vertu de la législation d’un État quelconque, et chacun de ces États dispose, ou peut adopter, des instruments comparables à ceux mentionnés ci-dessus. Le risque n’est pas lié à un drapeau particulier ; il tient au fait de dépendre d’une capacité dont le contrôle relève d’une juridiction autre que la vôtre. Remplacer un fournisseur étranger A par un fournisseur étranger B change simplement l’État dont relève cette capacité. Cela ne change rien au fait que cette capacité relève d’une juridiction étrangère.
La question stratégique pertinente n’est donc pas « À quel fournisseur étranger faisons-nous confiance ? », mais « Comment conservons-nous la garde et le contrôle sur notre territoire ? » — et il s’agit là d’une question d’architecture et d’approvisionnement, et non de loyauté des fournisseurs. On peut y répondre par des règles que tout fournisseur est libre de respecter : des tests visant à déterminer où un modèle s’exécute réellement et quelle législation s’y applique ; des exigences garantissant que les données sensibles et leurs dérivés restent sous la juridiction nationale ; et des normes relatives aux enregistrements permettant à un organisme public de reconstituer ce qu’un système d’IA a fait, indépendamment du fournisseur qui l’a fourni. Rien de tout cela ne désigne une entreprise privilégiée. Tout cela permet de maintenir la décision là où elle doit être : entre les mains du pays, et non du fournisseur.
Pour une petite économie, ce cadre est également le plus abordable. Posséder en propre les puces, les centres de données et les modèles de pointe est hors de portée. En revanche, conserver l’autorité, la garde et le contrôle sur les enregistrements et les décisions ne l’est pas : il s’agit avant tout d’une question de règles et de normes, à la portée de tout gouvernement disposé à les rédiger. L’article 5 expose à quoi ces règles pourraient ressembler, sous la forme d’un menu plutôt que d’une prescription.
Qu’en est-il du législateur ?
La question de la souveraineté ne se résout pas en se demandant si un système d’IA est puissant, ni même s’il est précis. Elle se résout en posant trois questions plus simples, que tout décideur politique peut poser à propos de n’importe quelle proposition sans avoir besoin de connaissances techniques :
- Où le système fonctionne-t-il réellement, et quelle législation s’applique à l’entreprise qui le contrôle ?
- Nos données sensibles — ainsi que tout ce qui en découle — restent-elles sous notre juridiction ?
- Si l’accès venait à être restreint demain par une décision prise dans une autre juridiction, qu’est-ce que nous ne pourrions plus faire ?
Un système qui répond bien à ces questions peut s’avérer plus limité que l’offre commerciale la plus étendue. Pour une question d’État, c’est le bon compromis. Une capacité brute dont un pays ne peut rendre compte et dont il ne peut être sûr de conserver la maîtrise a moins de valeur à ses yeux qu’une capacité — même plus modeste — qui reste sous son autorité lorsque la pression s’exerce.
Le prochain article passe de la question de où l’IA est régie à celle de comment — et à la raison pour laquelle les principes volontaires, aussi bien rédigés soient-ils, ne suffisent pas à eux seuls.
Vous souhaitez utiliser correctement et en toute sécurité des outils d’IA comme ceux-ci ? Nos formations gratuites — Travailler avec Claude et Les agents au travail — vous enseignent les compétences pratiques, depuis l’obtention de réponses fiables jusqu’au choix des tâches à confier à un agent. Pour découvrir l’architecture technique complète de Village AI, consultez Village AI — Gouvernance agentique.
Cela vous a été utile ? Partagez cet article ou affichez un code QR à scanner.